GEDELEGEERDE VERORDENING (EU) 2024/595 VAN DE COMMISSIE

van 9 november 2023

tot aanvulling van Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad met technische reguleringsnormen tot specificatie van de materialiteit van zwakke punten, het soort verzamelde informatie, de praktische uitvoering van de informatieverzameling en de analyse en verspreiding van de in artikel 9 bis, lid 2, van die verordening bedoelde centrale databank bestrijding van witwassen en terrorismefinanciering (AML/CFT)

(Voor de EER relevante tekst)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Bankautoriteit), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/78/EG van de Commissie (1), en met name artikel 9 bis, lid 1, derde alinea, en artikel 9 bis, lid 3, derde alinea,

Overwegende hetgeen volgt:

(1)

Artikel 9 bis, lid 2, van Verordening (EU) nr. 1093/2010 schrijft voor dat de Europese Bankautoriteit (“EBA”) een centrale databank opzet voor de in overeenstemming met artikel 9 bis, lid 1, punt a), van die verordening verzamelde informatie. Dit betekent dat specificeren hoe informatie moet worden geanalyseerd en op need-to-know-basis en op vertrouwelijke basis aan rapporterende autoriteiten beschikbaar moet worden gesteld, zoals voorgeschreven door artikel 9 bis, lid 3, van die verordening, onvermijdelijk verband houdt met de specificaties van nadere gegevens voor het opzetten van die centrale databank.

(2)

De overeenkomstige situaties waarin zwakke punten kunnen optreden, moeten worden gespecificeerd. Toezicht omvat alle relevante werkzaamheden, onverminderd nationale bevoegdheden, van alle rapporterende autoriteiten die moeten worden uitgevoerd krachtens de sectorale wetgevingshandelingen — en is dus divers. Daarom moeten de overeenkomstige situaties worden gespecificeerd, rekening houdende met de toezichtwerkzaamheden die door de verschillende rapporterende autoriteiten worden verricht.

(3)

Om de materialiteit van een zwak punt te bepalen, is het noodzakelijk de algemene definitie ervan te bepalen en een niet-uitputtende lijst van criteria op te stellen om die definitie verder in te vullen. Die omschrijving en lijst van criteria zijn noodzakelijk om, enerzijds, tot een geharmoniseerde benadering te komen bij de toepassing van die algemene definitie, terwijl, anderzijds, wordt verzekerd dat alle materiële zwakke punten, in de zin van de algemene definitie, in beeld komen, rekening houdende met de specifieke context.

(4)

Om ervoor te zorgen dat rapporterende autoriteiten zwakke punten in een vroeg stadium aan de databank rapporteren, moet een zwak punt zodanig worden omschreven dat het niet alleen zwakke punten omvat die een aanzienlijk falen laten zien bij de inachtneming van toepasselijke vereisten wat betreft het tegengaan van witwassen en het bestrijden van terrorismefinanciering (“AML/CFT”), maar ook zwakke punten die tot dit soort falen kunnen leiden, ook al heeft dit falen zich nog niet voorgedaan. Een en ander valt ook te verantwoorden doordat informatie naar beste vermogen aan de databank moet worden gerapporteerd door die autoriteiten, die niet over dezelfde mate van AML/CFT-informatie en -deskundigheid beschikken als de toezichthoudende autoriteiten die krachtens Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad (2) als bevoegd zijn aangewezen.

(5)	Om te bepalen welk soort informatie moet worden ingediend, moet een onderscheid worden gemaakt tussen algemene informatie, informatie over materiële zwakke punten en informatie over de genomen maatregelen.

(6)

Bij het bepalen van welke onderdelen van de algemene informatie moeten worden ingediend, moet bijzondere aandacht gaan naar financiëlesectordeelnemers die grensoverschrijdend actief zijn, met inbegrip van financiëlesectordeelnemers die deel uitmaken van een groep waarvoor een college actief is. Om de vergelijkbaarheid van ingediende informatie te verzekeren, moeten AML/CFT-autoriteiten, als onderdeel van die algemene informatie, bij de EBA ook het AML/CFT-risicoprofiel van de financiëlesectordeelnemer aanleveren, gebruikmakend van gemeenschappelijke categorieën.

(7)

Prudentiële autoriteiten moeten, als onderdeel van de algemene informatie die zij moeten rapporteren, informatie verschaffen over de uitkomst van de betrokken risicobeoordeling van toezichtprocessen en andere vergelijkbare processen die invloed ondervinden van het risico van de financiëlesectordeelnemer op witwassen en terrorismefinanciering, samen met informatie over negatieve eindbeoordelingen of negatieve besluiten over vergunningaanvragen, wanneer die beoordeling of dat besluit ook op gronden van risico’s op witwassen en terrorismefinanciering berust.

(8)

Om rekening te houden met de onderscheiden bevoegdheden van AML/CFT-autoriteiten van het land van herkomst en die van het land van ontvangst zoals uiteengezet in Richtlijn (EU) 2015/849, moet worden verduidelijkt dat de AML/CFT-autoriteiten van zowel het land van herkomst als het land van ontvangst bij de EBA materiële zwakke punten moeten rapporteren die elk van hen heeft geconstateerd bij de uitoefening van hun respectieve bevoegdheden. Ook moet duidelijk worden gemaakt dat de maatregelen die de AML/CFT-autoriteit van het land van ontvangst heeft genomen, moeten worden ingediend bij de databank, ongeacht eventuele kennisgevingen aan de autoriteit in het land van herkomst.

(9)

Verzekerd moet worden dat de EBA daadwerkelijk haar rol kan uitoefenen om werkzaamheden te leiden, te coördineren en te monitoren die de integriteit, transparantie en veiligheid van het financiële stelsel bevorderen, om te voorkomen dat dit stelsel wordt gebruikt voor witwassen of terrorismefinanciering, doordat zij al haar bevoegdheden en instrumenten op grond van Verordening (EU) nr. 1093/2010 ten volle benut, zij het met inachtneming van het evenredigheidsbeginsel. Daarom moet de EBA de mogelijkheid krijgen om, ten behoeve van de analyse van de bij de databank ingediende informatie, de informatie waarover zij uit andere bronnen beschikt, te combineren. De EBA moet trachten deze informatie te gebruiken voor het vervullen van al haar taken zoals die in Verordening (EU) nr. 1093/2010 zijn vastgelegd.

(10)

Bij het analyseren van bij de databank ingediende en aan de rapporterende autoriteiten beschikbaar gestelde informatie moet deze verordening samenwerking verzekeren met de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (“Eiopa”) en de Europese Autoriteit voor effecten en markten (“ESMA”) overeenkomstig het beginsel van loyale samenwerking op grond van artikel 4, lid 3, van het Verdrag betreffende de Europese Unie, zoals nader ingevuld in artikel 2, lid 4, van Verordening (EU) nr. 1093/2010, artikel 2, lid 4, van Verordening (EU) nr. 1094/2010 van het Europees Parlement en de Raad (3), en artikel 2, lid 4, van Verordening (EU) nr. 1095/2010 van het Europees Parlement en de Raad (4). Met name moet worden bepaald dat informatie die de EBA opvraagt bij die autoriteiten of die anderszins van die autoriteiten wordt ontvangen, in voorkomend geval voor analyse kan worden gebruikt en dat de EBA de Eiopa en de ESMA die informatie zal verschaffen, hetzij ambtshalve, hetzij op verzoek van die autoriteiten.

(11)

Bepaald moet worden hoe informatie aan rapporterende autoriteiten beschikbaar moet worden gesteld. In artikel 9 bis, lid 2, van Verordening (EU) nr. 1093/2010 is in algemene zin sprake van het feit de EBA erop moet toezien dat die informatie aan rapporterende autoriteiten beschikbaar wordt gesteld op need-to-know-basis en op vertrouwelijke basis, terwijl in artikel 9 bis, lid 3, van die verordening specifiek sprake is van gemotiveerde verzoeken. Beide bepalingen zijn onderdeel van de procedure wat betreft de vraag hoe informatie aan rapporterende autoriteiten beschikbaar wordt gesteld. Daartoe moeten ook de specifieke elementen worden bepaald van de verzoeken die de EBA van rapporterende autoriteiten kan ontvangen.

(12)

Om te verzekeren dat het evenredigheidsbeginsel in acht wordt genomen en om overlapping van informatie te voorkomen, wordt een AML/CFT-autoriteit die informatie over een maatregel indient, geacht ten aanzien van die maatregel ook de in artikel 62 van Richtlijn (EU) 2015/849 bedoelde kennisgeving in te dienen. Voorts moet van een AML/CFT- of prudentiële autoriteit die informatie indient bij de centrale databank, worden verlangd dat die autoriteit bij het indienen van informatie vermeldt of zij al een kennisgeving heeft ingediend op grond van artikel 97, lid 6, van Richtlijn 2013/36/EU van het Europees Parlement en de Raad (5).

(13)

Om ervoor te zorgen dat de centrale AML/CFT-databank een doeltreffend instrument wordt bij de bestrijding van witwassen en terrorismefinanciering, moet ervoor worden gezorgd dat de rapporterende autoriteiten die informatie tijdig bij de centrale databank indienen en dat de kwaliteit van die informatie wordt geborgd. Daartoe moet informatie over materiële zwakke punten en genomen maatregelen onverwijld worden ingediend en moeten rapporterende autoriteiten onverwijld antwoorden op verzoeken van de EBA die worden gedaan nadat een analyse met kwaliteitscheck is uitgevoerd. Om dezelfde reden moeten rapporterende autoriteiten zorgen voor de doorlopende nauwkeurigheid, volledigheid, adequaatheid en updates van die informatie en moet informatie over een materieel zwak punt worden ingediend, ongeacht maatregelen die eventueel in reactie daarop worden genomen.

(14)

Om tijdsefficiëntie te verzekeren — en zo coherente, stelselmatige en doeltreffende monitoring en beoordeling van risico’s met betrekking tot witwassen en terrorismefinanciering in de financiële systemen van de Unie te bevorderen — moeten informatie en verzoeken in het Engels worden ingediend. Tegelijkertijd moeten, om de inachtneming te verzekeren van het evenredigheidsbeginsel en om buitensporige kosten voor de rapporterende autoriteiten te vermijden, de bewijsstukken, wanneer deze niet in het Engels beschikbaar zijn, worden ingediend in hun oorspronkelijke taal, vergezeld van een samenvatting in het Engels.

(15)

Wanneer een depositogarantiestelsel door een particuliere entiteit wordt beheerd, moet de aangewezen autoriteit die op dat stelsel toeziet, ervoor zorgen dat die regeling materiële zwakke punten die in de loop van haar werkzaamheden aan het licht zijn gekomen, aan de aangewezen autoriteit rapporteert.

(16)

Gezien het grote aantal betrokken rapporterende autoriteiten en om te anticiperen op de aanzienlijke verschillen in de rapportagefrequentie — sommige van deze rapporterende autoriteiten zullen namelijk door hun toezichttaken materiele zwakke punten en maatregelen op het gebied van AML/CFT waarschijnlijk minder frequent rapporteren — en om tot operationele efficiëntie en kostenefficiëntie te komen voor zowel de rapporterende autoriteiten als de EBA, moet een sequentiële aanpak in de architectuur van de databank worden ingebouwd. Op basis van die sequentiële aanpak moeten sommige rapporterende autoriteiten directe toegang krijgen tot de databank en andere indirecte toegang.

(17)

Alle bij de informatie-uitwisseling betrokken partijen moeten gebonden zijn door het ambtsgeheim en door vertrouwelijkheidsvoorwaarden. Daarom moet in specifieke bepalingen worden vastgesteld hoe verder inzage in de informatie kan worden verleend, zonder dat dit ten koste gaat van het vertrouwelijke karakter ervan.

(18)

Wanneer de informatie die wordt ingediend, opgevraagd, gedeeld of beschikbaar wordt gesteld, natuurlijke personen betreft, moet bij het verwerken van informatie over die natuurlijke personen het evenredigheidsbeginsel in acht worden genomen. Daartoe moet worden bepaald welke informatie over natuurlijke personen mag worden verwerkt.

(19)

Om de efficiëntie te verzekeren van de databank en de analyse van de daarin opgenomen informatie zodat deze databank een doeltreffend instrument kan zijn bij de bestrijding van witwassen en terrorismefinanciering, moet de EBA, in het kader van haar analyse, de informatie die overeenkomstig deze verordening bij haar wordt ingediend, kunnen combineren met andere informatie die beschikbaar is over materiële zwakke punten bij individuele financiëlesectordeelnemers die hen kwetsbaar maken voor witwassen en terrorismefinanciering, en die de EBA verkrijgt bij de uitvoering van haar taken binnen de reikwijdte van haar mandaat. Om de relevantie van die data te garanderen, moeten deze, wanneer de gecombineerde informatie persoonsgegevens bevat, in de datacategorieën van bijlage II vallen. Het combineren van persoonsgegevens moet een uitzondering blijven en de verwerking ervan mag alleen dienen voor de doelstellingen van de huidige verordening. Het kan gebeuren dat de data moeten worden gecombineerd om i) de nauwkeurigheid en volledigheid te garanderen van data verkregen van bevoegde autoriteiten of ii) om de EBA in staat te stellen in haar databank relevante informatie van dezelfde aard op te nemen als die welke door de bevoegde autoriteiten is doorgezonden, maar die is verkregen via een ander kanaal, zoals via haar onderzoeken krachtens artikel 17 van Verordening (EU) nr. 1093/2010 naar mogelijke inbreuken op Unierecht.

Informatie over vermoedens van strafbare feiten of strafrechtelijke veroordelingen van een cliënt, een uiteindelijk begunstigde, een lid van het leidinggevend orgaan of sleutelfunctionaris kunnen een aanwijzing zijn van een gebrek aan eerlijkheid, integriteit of risico’s op witwassen of terrorismefinanciering. Dit kan een belangrijke oorzaak zijn van of sterk bijdragen aan materiële zwakke punten in governanceregelingen, deskundigheid en betrouwbaarheid van een financiëlesectordeelnemer, bij houders van gekwalificeerde deelnemingen, in een bedrijfsmodel of activiteiten. Daarom mogen de in bijlage II vermelde persoonsgegevens informatie bevatten met betrekking tot vermoedens van of veroordelingen wegens strafbare feiten.

Alleen de data met betrekking tot materiële zwakke punten mogen in de databank worden opgenomen. Aangezien in het kader van deze verordening de materiële zwakke punten alleen aanzienlijk falen bij het nakomen van AML/CFT-verplichtingen betreffen, betekent dit dat de data die op grond van deze verordening worden verwerkt, in toepassingsbereik beperkt blijven tot zware inbreuken op de AML/CFT-verplichtingen — en dus beperkt blijven tot hetgeen noodzakelijk en evenredig is.

Alle ten behoeve van de uitvoering van deze verordening verwerkte persoonsgegevens moeten worden behandeld overeenkomstig het Unieraamwerk voor gegevensbescherming, met inbegrip van de beginselen met betrekking tot de verwerking ervan, zoals rechtmatigheid, behoorlijkheid en transparantie, doelbinding, gegevensminimalisatie, nauwkeurigheid, opslagbeperking, integriteit en vertrouwelijkheid, en verantwoordingsplicht.

(20)	Wetgeving inzake gegevensbescherming, en met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad (6) en Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (7), is van toepassing op de verwerking van persoonsgegevens.

(21)

De EBA, de ESMA, de Eiopa en de rapporterende autoriteiten moeten hun respectieve verantwoordelijkheden als gezamenlijke verwerkingsverantwoordelijken van persoonsgegevens bepalen door middel van een onderlinge regeling overeenkomstig artikel 26 van Verordening (EU) 2016/679 en artikel 86 van Verordening (EU) 2018/1725, voor zover die verantwoordelijkheden niet zijn vastgelegd in Unierecht of in nationaal recht waaraan zij onderworpen zijn.

(22)	De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 en heeft op 24 januari 2023 formele opmerkingen ingediend.

(23)

Gezien het complementaire karakter van het mandaat in artikel 9 bis, lid 1, van Verordening (EU) nr. 1093/2010 wat betreft de definitie van “zwak punt” en de materialiteit ervan, moet de nadere invulling van overeenkomstige situaties waarin zich een zwak punt kan voordoen, en het soort informatieverzameling en de praktische uitvoering ervan, en van het in lid 3 van dat artikel vastgestelde mandaat ten aanzien van de wijze waarop verzamelde informatie moet worden geanalyseerd en op een need-to-know-basis en op vertrouwelijke basis beschikbaar moet worden gesteld, moeten de betrokken bepalingen in één verordening worden vastgelegd.

(24)

In artikel 9 bis van Verordening (EU) nr. 1093/2010 wordt de EBA opgedragen informatie te verzamelen over de maatregelen die de rapporterende autoriteiten in reactie op de geconstateerde zwakke punten hebben genomen. Die maatregelen moeten worden begrepen als toezicht- en bestuurlijke maatregelen, sancties en geldboeten met inbegrip van bewarende of tijdelijke maatregelen, die door rapporterende autoriteiten zijn genomen in het kader van een toezichtactiviteit als bedoeld in artikel 2, lid 5, tweede alinea, van Verordening (EU) nr. 1093/2010, in artikel 2, lid 5, tweede alinea, van Verordening (EU) nr. 1094/2010 en artikel 2, lid 5, tweede alinea, van Verordening (EU) nr. 1095/2010.

(25)	Deze verordening is gebaseerd op de ontwerpen van technische reguleringsnormen die de EBA bij de Commissie heeft ingediend.

(26)

De EBA heeft open publieke consultaties gehouden over de ontwerpen van technische reguleringsnormen waarop deze verordening is gebaseerd, heeft de mogelijke kosten en baten ervan geanalyseerd en heeft het advies van de in overeenstemming met artikel 37 van Verordening (EU) nr. 1093/2010 opgerichte Stakeholdergroep bankwezen ingewonnen,

HEEFT DE VOLGENDE VERORDENING VASTGESTELD:

Artikel 1

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1)	“rapporterende autoriteiten”: autoriteiten in de zin van de punten 2) tot en met 7) van dit artikel, en de gemeenschappelijke afwikkelingsraad (SRB);

2)	“AML/CFT-autoriteit”: de autoriteit die belast is met het doen naleven van Richtlijn (EU) 2015/849 door een financiëlesectordeelnemer;

“prudentiële autoriteit”: de autoriteit die belast is met het doen naleven door een financiëlesectordeelnemer van het prudentiële raamwerk dat is vastgesteld in wetgevingshandelingen genoemd in artikel 1, lid 2, van Verordening (EU) nr. 1093/2010, artikel 1, lid 2, van Verordening (EU) nr. 1094/2010 en artikel 1, lid 2, van Verordening (EU) nr. 1095/2010 en in nationale wetgeving tot omzetting van de in die bepalingen genoemde richtlijnen, met inbegrip van de Europese Centrale Bank wat betreft kwesties met betrekking tot de haar bij Verordening (EU) nr. 1024/2013 van de Raad (8) opgedragen taken;

4)	“voor betaalinstellingen bevoegde autoriteit”: de in artikel 22 van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad (9) bedoelde autoriteit;

“op bedrijfsvoering toeziende autoriteit”: de autoriteit die belast is met het doen naleven door een financiëlesectordeelnemer van het raamwerk inzake bedrijfsvoering of consumentenbescherming dat is vastgesteld in wetgevingshandelingen genoemd in artikel 1, lid 2, van Verordening (EU) nr. 1093/2010, artikel 1, lid 2, van Verordening (EU) nr. 1094/2010 en artikel 1, lid 2, van Verordening (EU) nr. 1095/2010 en in nationale wetgeving tot omzetting van de in die artikelen genoemde richtlijnen;

6)	“afwikkelingsautoriteit”: een afwikkelingsautoriteit zoals gedefinieerd in artikel 2, lid 1, punt 18), van Richtlijn 2014/59/EU van het Europees Parlement en de Raad (10);

7)	“aangewezen autoriteit”: een aangewezen autoriteit zoals gedefinieerd in artikel 2, lid 1, punt 18), van Richtlijn 2014/49/EU van het Europees Parlement en de Raad (11);

“AML/CFT-verplichting”: een verplichting met betrekking tot het voorkomen en tegengaan van het gebruik van het financiële stelsel voor witwassen en terrorismefinanciering die aan een financiëlesectordeelnemer is opgelegd overeenkomstig de wetgevingshandelingen genoemd in artikel 1, lid 2, van Verordening (EU) nr. 1093/2010, artikel 1, lid 2, van Verordening (EU) nr. 1094/2010 en artikel 1, lid 2, van Verordening (EU) nr. 1095/2010 en overeenkomstig nationale wetgeving tot omzetting van de in die artikelen genoemde richtlijnen;

9)	“maatregel”: een toezicht- en bestuurlijke maatregel, sanctie en geldboete, daaronder begrepen bewarende of tijdelijke maatregelen, genomen door een rapporterende autoriteit in reactie op een zwak punt dat overeenkomstig artikel 3 als materieel wordt beschouwd;

10)

“bijkantoor”: een bedrijfszetel die een juridisch afhankelijk onderdeel is van een financiëlesectordeelnemer en die rechtstreeks alle of enkele transacties van de betrokken financiëlesectordeelnemer uitvoert, ongeacht of de statutaire zetel of het hoofdkantoor ervan in een lidstaat of in een derde land is gevestigd;

11)

“moederfinanciëlesectordeelnemer”: een financiëlesectordeelnemer in een lidstaat die een andere financiëlesectordeelnemer als dochteronderneming heeft of die een deelneming heeft in dit soort financiëlesectordeelnemer en zelf geen dochteronderneming is van een andere financiëlesectordeelnemer met een vergunning in dezelfde lidstaat;

12)	“EU-moederfinanciëlesectordeelnemer”: een moederfinanciëlesectordeelnemer in een lidstaat die geen dochteronderneming is van een andere financiëlesectordeelnemer in een lidstaat;

13)	“college”: een college van toezichthouders als bedoeld in artikel 116 van Richtlijn 2013/36/EU, een afwikkelingscollege of een Europees afwikkelingscollege als bedoeld in de artikelen 88 en 89 van Richtlijn 2014/59/EU, of een AML/CFT-college.

Artikel 2

Zwakke punten en overeenkomstige situaties waarin zich zwakke punten kunnen voordoen

1. Voor de toepassing van artikel 9 bis, lid 1, punt a), eerste alinea, van Verordening (EU) nr. 1093/2010 wordt onder “zwak punt” verstaan:

a)	een inbreuk door een financiëlesectordeelnemer op een AML/CFT-verplichting, die door een rapporterende autoriteit is geconstateerd;

b)	een situatie waarin de rapporterende autoriteit redelijke gronden heeft voor verdenkingen dat de financiëlesectordeelnemer op een AML/CFT-verplichting inbreuk heeft gemaakt of dat de financiëlesectordeelnemer heeft geprobeerd op dat soort verplichting inbreuk te maken (“potentiële inbreuk”);

de ineffectieve of inadequate toepassing door een financiëlesectordeelnemer van een AML/CFT-verplichting, of de zodanige toepassing van interne procedures die financiëlesectordeelnemers hebben opgezet om aan ACM/CFT-verplichtingen te voldoen, dat de rapporterende autoriteit deze als inadequaat of ontoereikend beschouwt om de beoogde effecten van die verplichtingen en procedures te verwezenlijken en die, naar haar aard, waarschijnlijk tot een inbreuk als bedoeld in punt a) of tot een potentiële inbreuk als bedoeld in punt b) zal leiden indien de situatie niet wordt rechtgezet (“ineffectieve of inadequate toepassing”).

2. De overeenkomstige situaties waarin zich zwakke punten kunnen voordoen, worden in bijlage I beschreven.

Artikel 3

Materialiteit van een zwak punt

1. Rapporterende autoriteiten beschouwen een zwak punt als materieel wanneer dat zwakke punt wat betreft de inachtneming van ACM/CFT-verplichtingen door de financiëlesectordeelnemer, of de groep waartoe de financiëlesectordeelnemer behoort, aanzienlijk falen aan het licht brengt of daartoe kan leiden.

2. Voor de toepassing van lid 1 beoordelen rapporterende autoriteiten ten minste alle volgende criteria:

a)	of het zwakke punt zich voordoet of zich herhaaldelijk heeft voorgedaan;

b)	of het zwakke punt over een aanzienlijke periode aanhield (duur);

c)	of het zwakke punt ernstig of flagrant is (zwaarte);

of het leidinggevend orgaan of het hoger leidinggevende personeel van de financiëlesectordeelnemer kennis blijkt te hebben van het zwakke punt en besloten heeft dit niet verhelpen (nalatigheid), dan wel of zij besluiten hebben genomen of hebben overlegd om het zwakke punt te genereren (opzettelijk wangedrag);

e)	of het zwakke punt de blootstelling van de financiëlesectordeelnemer, of de groep waartoe deze behoort, aan risico’s op witwassen en terrorismefinanciering doet toenemen;

f)	of het zwakke punt een aanzienlijke impact heeft, of kan hebben, op de integriteit, transparantie en veiligheid van het financiële stelsel van een lidstaat of van de Unie als geheel, of op de financiële stabiliteit van een lidstaat of van de Unie als geheel;

g)	of het zwakke punt een aanzienlijke impact heeft, of kan hebben, op de levensvatbaarheid van de financiëlesectordeelnemer of de groep waartoe de financiëlesectordeelnemer behoort;

h)	of het zwakke punt een aanzienlijk impact heeft, of kan hebben, op het ordelijke functioneren van financiële markten.

Artikel 4

Door rapporterende autoriteiten te verschaffen informatie

Uitsluitend voor de toepassing artikel 9 bis, lid 1, punt a), eerste alinea, van Verordening (EU) nr. 1093/2010 verschaffen rapporterende autoriteiten de EBA alle volgende soorten informatie:

a)	de in artikel 5 van deze verordening bepaalde algemene informatie;

b)	de in artikel 6 van deze verordening bepaalde informatie over materiële zwakke punten;

c)	de in artikel 7 van deze verordening bepaalde informatie over genomen maatregelen.

Artikel 5

Algemene informatie

1. Rapporterende autoriteiten verschaffen de EBA alle volgende algemene informatie:

a)	de identificatie van de rapporterende autoriteit, met vermelding of het om de AML/CFT-autoriteit van het land van herkomst of van het land van ontvangst gaat en, wanneer artikel 12, lid 4, van toepassing is, de identificatie van de autoriteit die deze informatie indirect indient;

de identificatie van de financiëlesectordeelnemer en zijn bijkantoren, van de agenten zoals gedefinieerd in artikel 4, punt 38), van Richtlijn (EU) 2015/2366, en van distributeurs, met inbegrip van het soort financiëlesectordeelnemer en, in voorkomend geval, de rechtsvorm, wanneer die deelnemer of zijn bijkantoren, agenten of distributeurs geraakt worden door het materiële zwakke punt of de genomen maatregel;

c)	wanneer de financiëlesectordeelnemer deel uitmaakt van een groep: de identificatie van de EU-moederfinanciëlesectordeelnemer en van de moederfinanciëlesectordeelnemer;

wanneer de informatie wordt ingediend bij de Europese Centrale Bank, de gemeenschappelijke afwikkelingsraad of de nationale rapporterende autoriteit van de lidstaat waar de financiëlesectordeelnemer zijn statutaire zetel heeft of, indien de financiëlesectordeelnemer geen statutaire zetel heeft, van de lidstaat waar het hoofdkantoor van de financiëlesectordeelnemer is gevestigd: de identificatie van de landen waar de financiëlesectordeelnemer bijkantoren en dochterondernemingen exploiteert of via een netwerk van agenten en distributeurs actief is;

wanneer de financiëlesectordeelnemer deel uitmaakt van een groep: informatie over colleges waaraan de rapporterende autoriteit deelneemt, met inbegrip van informatie over de leden en waarnemers ervan en de hoofdtoezichthouder, de groepstoezichthouder, de consoliderende toezichthouder of de afwikkelingsautoriteit op groepsniveau van dat college;

f)	de vraag of er een centraal contactpunt is als bedoeld in artikel 45, lid 9, van Richtlijn (EU) 2015/849 en, in voorkomend geval, de identificatie daarvan;

alle andere relevante informatie over de financiëlesectordeelnemer, het bijkantoor, de agent of de distributeur, met inbegrip van informatie over de vraag of:

i)	de financiëlesectordeelnemer momenteel een vergunningaanvraag heeft lopen, of een aanvraag heeft lopen om zijn recht van vestiging of zijn vrijheid van dienstverrichting uit te oefenen, of andere verzoeken om toestemming van toezichthouders heeft lopen;

ii)	ten aanzien van de financiëlesectordeelnemer in Richtlijn 2014/59/EU beschreven procedures lopen, of andere insolventieprocedures;

informatie over de omvang van de activiteiten van de financiëlesectordeelnemer en zijn bijkantoren, met inbegrip van (in voorkomend geval):

i)	informatie over financiële overzichten;

ii)	het aantal cliënten;

iii)	het volume activa onder beheer;

iv)	voor een verzekeringsonderneming: haar jaarlijkse bruto geboekte premies en de omvang van haar technische voorzieningen;

v)	voor een verzekeringsintermediair: het volume premies uit intermediatie;

vi)	voor betaalinstellingen en elektronischgeldinstellingen: de omvang van het distributienetwerk, met inbegrip van informatie over het aantal agenten en distributeurs.

2. Prudentiële autoriteiten dienen, naast de in lid 1 genoemde informatie, alle volgende informatie in bij de databank:

de uitkomst van de risicobeoordeling bepaald op basis van de betrokken toezichtprocessen, met inbegrip van de toezichtprocessen bedoeld in artikel 97 van Richtlijn 2013/36/EU en artikel 36 van Richtlijn 2009/138/EG van het Europees Parlement en de Raad (12), en andere vergelijkbare processen waarop de blootstelling van de financiëlesectordeelnemer — of van zijn bijkantoren — aan het risico op witwassen of terrorismefinanciering van invloed kan zijn, onder meer op het gebied van interne governance, bedrijfsmodel, operationeel risico en kredietrisico;

negatieve eindbeoordelingen van, of een beslissing over, een vergunningaanvraag als financiëlesectordeelnemer, met inbegrip van het geval waarin een lid van het leidinggevend orgaan niet voldoet aan de eisen inzake deskundigheid en betrouwbaarheid, en met inbegrip van het geval waarin die beoordeling of dat besluit berust op gronden van witwassen of terrorismefinanciering.

Rapportage over natuurlijke personen ten behoeve van punt b) vindt overeenkomstig bijlage II plaats.

3. AML/CFT-autoriteiten verschaffen, naast de in lid 1 genoemde informatie, met gebruikmaking van de categorieën in bijlage III, informatie aan de EBA over het risicoprofiel inzake witwassen en terrorismefinanciering van de financiëlesectordeelnemer en van zijn bijkantoren, alsmede beschikbare informatie over het risicoprofiel inzake witwassen en terrorismefinanciering van de agenten en distributeurs.

Artikel 6

Informatie over materiële zwakke punten

Rapporterende autoriteiten verschaffen de EBA alle volgende informatie over materiële zwakke punten:

a)	het soort zwakke punt in de zin van artikel 2, lid 1;

b)	de reden waarom de rapporterende autoriteit het zwakke punt als materieel beschouwt;

c)	een beschrijving van het materiële zwakke punt;

d)	de overeenkomstige situatie waarin het zwakke punt zich heeft voorgedaan, zoals beschreven in bijlage I;

e)	de tijdslijn van het materiële zwakke punt;

f)	de oorsprong van de informatie over het materiële zwakke punt;

g)	de AML/CFT-verplichting waarop het materiële zwakke punt betrekking heeft;

h)	het soort producten, diensten of activiteiten waarvoor de financiëlesectordeelnemer over een vergunning beschikt en die door het materiële zwakke punt worden geraakt;

i)	de vraag of het materiële zwakke punt de financiëlesectordeelnemer zelf betreft, zijn bijkantoor, agent of distributeur alleen, alsmede de eventuele grensoverschrijdende impact van het materiële zwakke punt;

j)	de vraag of informatie over het materiële zwakke punt is meegedeeld aan een college dat is opgericht voor de groep waarvan de financiëlesectordeelnemer deel uitmaakt, en, voor zover nog niet meegedeeld, de reden waarom;

voor de AML/CFT-autoriteiten van het land van ontvangst: de vraag of de informatie over het materiële zwakke punt is meegedeeld aan de AML/CFT-autoriteit van het land van herkomst of aan het in artikel 45, lid 9, van Richtlijn (EU) 2015/849 bedoelde centrale contactpunt, in voorkomend geval, en voor zover nog niet meegedeeld, de reden waarom;

l)	de vraag of het materiële zwakke punt inherent lijkt te zijn aan de vormgeving van het betrokken product, de betrokken dienst of de betrokken activiteit;

de vraag of het materiële zwakke punt verband lijkt te houden met specifieke natuurlijke personen — of het nu gaat om een cliënt, een uiteindelijk begunstigde, een lid van het leidinggevend orgaan of een sleutelfunctionaris —, met inbegrip van de redenen waarom de rapporterende autoriteit van oordeel is dat die natuurlijke persoon met het materiële zwakke punt in verband moet worden gebracht;

context- of achtergrondinformatie over het materiële zwakke punt, voor zover bekend aan de rapporterende autoriteit, met inbegrip van:

i)	de vraag of het materiële zwakke punt verband houdt met een reeds door de EBA geïdentificeerde specifieke sector die relevant is voor witwassen of terrorismefinanciering;

ii)	voor AML/CFT-autoriteiten: de vraag of het materiële zwakke punt wijst op een nieuw risico wat betreft witwassen of terrorismefinanciering;

iii)	de vraag of het materiële zwakke punt verband houdt met het gebruik van nieuwe technologie en, zo ja, een korte beschrijving van die nieuwe technologie.

Voor de toepassing van punt m) wordt alle informatie over natuurlijke personen verschaft overeenkomstig bijlage II.

Artikel 7

Informatie over genomen maatregelen

Rapporterende autoriteiten verschaffen de EBA alle volgende informatie over genomen maatregelen:

a)	een vermelding van het materiële zwakke punt ten aanzien waarvan de maatregel is genomen en, in voorkomend geval, een update van de overeenkomstig artikel 6 verschafte informatie:

b)	de datum waarop de maatregel is opgelegd;

c)	het soort maatregel, het interne referentienummer ervan en een link daarnaar toe, indien gepubliceerd;

d)	volledige informatie over de rechtspersonen en natuurlijke personen die de maatregel opgelegd kregen;

e)	een beschrijving van de maatregel, met inbegrip van de rechtsgrondslag ervan;

f)	de status van de maatregel, met inbegrip van de vraag of tegen de maatregel beroep is ingesteld;

g)	de vraag of en hoe de maatregel is gepubliceerd, met inbegrip van de redenen voor anonieme publicatie, uitstel van publicatie of het afzien van publicatie;

alle informatie relevant voor het remediëren van het materiële zwakke punt waarop de maatregel ziet, met inbegrip van maatregelen die voor die remediëring gepland staan of genomen zijn, en de nodige aanvullende toelichting over het remediëringsproces en de tijdslijn waarbinnen remediëring wordt verwacht;

i)	de vraag of de informatie over de maatregel is meegedeeld aan een college dat is opgericht voor de groep waarvan de financiëlesectordeelnemer deel uitmaakt, en, voor zover nog niet meegedeeld, de reden waarom;

j)	voor de AML/CFT-autoriteiten van het land van ontvangst: de vraag of informatie over de maatregel is meegedeeld aan de bevoegde AML/CFT-autoriteit van het land van herkomst, en, voor zover nog niet meegedeeld, de reden waarom.

Voor de toepassing van punt d) wordt alle informatie over natuurlijke personen verschaft overeenkomstig bijlage II.

Artikel 8

Tijdslijnen en de verplichting om updates te verschaffen

1. Rapporterende autoriteiten verschaffen de EBA onverwijld alle informatie over materiële zwakke punten en over maatregelen.

2. Rapporterende autoriteiten verschaffen de EBA informatie over een materieel zwak punt, ongeacht of maatregelen zijn genomen in reactie op dat materiële zwakke punt. Daarnaast dienen de AML/CFT-autoriteiten van het land van ontvangst die informatie in, ongeacht eventuele kennisgevingen aan de AML/CFT-autoriteiten van het land van herkomst.

3. Rapporterende autoriteiten zien erop toe dat de informatie die zij aan de EBA verschaffen, accuraat, volledig, adequaat en actueel blijft.

4. Wanneer de EBA beslist dat de verschafte informatie niet accuraat, volledig, adequaat of actueel is, verschaffen de rapporterende autoriteiten de EBA op haar verzoek onverwijld aanvullende of verdere informatie.

5. Rapporterende autoriteiten verschaffen de EBA tijdig alle informatie die nodig is om de EBA op de hoogte te houden van verdere ontwikkelingen met betrekking tot de verschafte informatie, met inbegrip van informatie over de geconstateerde zwakke punten of de genomen maatregel en remediëring ervan.

Artikel 9

Analyse van de door de EBA ontvangen informatie

1. De EBA analyseert de overeenkomstig deze verordening ontvangen informatie aan de hand van een risicogebaseerde benadering.

2. De EBA kan, waar passend, informatie die overeenkomstig deze verordening is ingediend, combineren met andere voor de EBA beschikbare informatie, met inbegrip van informatie waarin natuurlijke personen of rechtspersonen aan de EBA inzage hebben verleend, met inbegrip van het in bijlage II vermelde soort informatie.

3. De ESMA en de Eiopa verschaffen de EBA, op haar verzoek, aanvullende informatie die nodig is voor de analyse van de overeenkomstig deze verordening ontvangen informatie. Wanneer de aanvullende informatie persoonsgegevens bevat, worden die gegevens verschaft met gebruikmaking van de categorieën in bijlage II.

4. De EBA tracht van de overeenkomstig deze verordening ontvangen informatie gebruik te maken voor de uitvoering van haar taken zoals die in Verordening (EU) nr. 1093/2010 zijn vastgelegd, met inbegrip van al het volgende:

het uitvoeren van analyses op geaggregeerde basis:

i)	om haar in artikel 6, lid 5, van Richtlijn (EU) 2015/849 bedoelde advies te onderbouwen;

ii)	om de in artikel 9 bis, lid 5, van Verordening (EU) nr. 1093/2010 bedoelde risicobeoordelingen uit te voeren;

het beantwoorden van verzoeken van rapporterende autoriteiten om informatie over financiëlesectordeelnemers die relevant is voor de toezichtwerkzaamheden van die autoriteiten wat betreft het voorkomen van het gebruik van het financiële stelsel voor witwassen of terrorismefinanciering, zoals bedoeld in artikel 9 bis, lid 3, van Verordening (EU) nr. 1093/2010;

c)	om de in artikel 9 bis van Verordening (EU) nr. 1093/2010 bedoelde verzoeken tot het voeren van onderzoek te onderbouwen;

d)	om ambtshalve aan rapporterende autoriteiten inzage te verlenen in informatie die relevant is voor hun toezichtwerkzaamheden zoals bedoeld in artikel 10, lid 1, punt b);

om de Eiopa en de ESMA overeenkomstig deze verordening geanalyseerde informatie te verschaffen, met inbegrip van informatie over individuele financiëlesectordeelnemers, en informatie over natuurlijke personen overeenkomstig bijlage II, hetzij ambtshalve, hetzij na een verzoek van de Eiopa of de ESMA waarin de redenen worden gegeven waarom die informatie noodzakelijk is voor het vervullen van hun taken zoals die zijn vastgelegd in, respectievelijk, Verordening (EU) nr. 1094/2010 en Verordening (EU) nr. 1095/2010.

Artikel 10

Informatie beschikbaar stellen aan de rapporterende autoriteiten

1. De EBA verschaft in alle volgende situaties de rapporterende autoriteiten de informatie die overeenkomstig deze verordening is ontvangen en die overeenkomstig artikel 9 is geanalyseerd:

na een verzoek van de rapporterende autoriteit om informatie over financiëlesectordeelnemers die relevant is voor de toezichtwerkzaamheden van die autoriteit wat betreft het voorkomen van het gebruik van het financiële stelsel voor witwassen of terrorismefinanciering, zoals bedoeld in artikel 9 bis, lid 3, van Verordening (EU) nr. 1093/2010;

ambtshalve door de EBA, onder meer voor de volgende gevallen, volgens een risicogebaseerde benadering:

aan de hoofdtoezichthouder, de groepstoezichthouder, de consoliderende toezichthouder of de afwikkelingsautoriteit op groepsniveau, wanneer een college is opgericht maar de informatie binnen dat college nog niet is verspreid overeenkomstig artikel 6, punt j), en artikel 7, punt i), van deze verordening en de EBA de informatie voor dat college relevant acht;

ii)

wanneer geen college is opgericht, maar de financiëlesectordeelnemer deel uitmaakt van een grensoverschrijdende groep of bijkantoren heeft of actief is via agenten of distributeurs in andere landen en de EBA de informatie relevant acht voor de autoriteiten die toezicht houden op die groepsentiteiten, bijkantoren, agenten of distributeurs.

2. Het in lid 1, punt a), bedoelde verzoek vermeldt de volgende elementen:

a)	de identificatie van de verzoekende rapporterende autoriteit en de autoriteit die de indirecte indiening van informatie faciliteert, als bedoeld in artikel 12, lid 4, in voorkomend geval;

b)	de identiteit van de financiëlesectordeelnemer waarop het verzoek ziet;

c)	de vraag of het verzoek ziet op de financiëlesectordeelnemer of op een natuurlijke persoon;

d)	de vraag waarom de informatie relevant is voor de verzoekende rapporterende autoriteit en haar toezichtwerkzaamheden wat betreft het voorkomen van het gebruik van het financiële stelsel voor witwassen of terrorismefinanciering;

e)	het beoogde gebruik van de gevraagde informatie;

f)	de eventuele datum waartegen de informatie moet zijn ontvangen en een verantwoording voor die datum;

g)	de vraag of er een mate van urgentie is en een verantwoording voor die urgentie;

h)	aanvullende informatie die de EBA kan helpen bij het verwerken van het verzoek of die door de EBA wordt gevraagd.

3. Wanneer natuurlijke personen betrokken zijn, verlopen de in lid 1, punt a), bedoelde verzoeken en het overeenkomstig lid 1, punt b), verschaffen van informatie overeenkomstig bijlage II.

Artikel 11

Samenhang met andere kennisgevingen

1. De indiening van informatie over een maatregel door een AML/CFT-autoriteit bij de EBA overeenkomstig artikel 7 van deze verordening, wordt geacht een indiening van informatie als bedoeld in artikel 62 van Richtlijn (EU) 2015/849 te zijn ten aanzien van die maatregel.

2. Een AML/CFT- of een prudentiële autoriteit die overeenkomstig deze verordening informatie indient, vermeldt samen met die indiening van informatie of zij reeds een kennisgeving op grond van artikel 97, lid 6, van Richtlijn 2013/36/EU heeft ingediend.

Artikel 12

Praktische uitvoering van de informatievergaring

1. De in de artikelen 5, 6 en 7 bedoelde informatie en in artikel 9, lid 4, punt b), en artikel 10, lid 1, punt a), bedoelde verzoeken worden elektronisch en in het Engels ingediend.

2. Bewijsstukken die niet in het Engels beschikbaar zijn, worden in hun oorspronkelijke taal ingediend, vergezeld van een samenvatting in het Engels.

3. Wanneer een depositogarantiestelsel door een particuliere entiteit wordt beheerd, zorgt de aangewezen autoriteit die op dat stelsel toeziet, ervoor dat de particuliere entiteit die de regeling beheert, materiële zwakke punten die in de loop van haar werkzaamheden aan het licht zijn gekomen, aan de aangewezen autoriteit rapporteert.

4. Wanneer een rapporterende autoriteit niet zijnde een AML/CFT-autoriteit (“indirect informatie indienende autoriteit”) informatie en verzoeken bij de EBA indient en informatie van de EBA ontvangt via de AML/CFT-autoriteit van de lidstaat waar de indirect informatie indienende autoriteit is gevestigd die belast is met het toezicht op de financiëlesectordeelnemer waar het zwakke punt speelt (“indirecte indiening van informatie faciliterende autoriteit”), is het volgende van toepassing:

a)	de indirect informatie indienende autoriteit dient de informatie en verzoeken in bij en ontvangt informatie van de EBA uitsluitend via de indirecte indiening van informatie faciliterende autoriteit;

de aansprakelijkheid van de indirecte indiening van informatie faciliterende autoriteit is beperkt tot uitsluitend het bij de EBA indienen van alle van de indirect informatie indienende autoriteit ontvangen informatie en verzoeken en het aan die autoriteit overdragen van alle van de EBA ontvangen informatie;

c)	de indirect informatie indienende autoriteit blijft uitsluitend aansprakelijk voor het nakomen van haar verplichtingen om materiële zwakke punten en maatregelen overeenkomstig deze verordening te rapporteren;

d)	de kennisgevingen overeenkomstig artikel 9 bis, lid 3, van Verordening (EU) nr. 1093/2010 gebeuren door de EBA voor de indirect informatie indienende autoriteit via de indirecte indiening van informatie faciliterende autoriteit.

5. Rapporterende autoriteiten stellen een functionaris op voldoende hoog niveau aan die de autoriteit tegenover de EBA vertegenwoordigt voor de indiening van, het verzoek om en de ontvangst van informatie overeenkomstig deze verordening, en stellen de EBA in kennis van die aanstelling en van wijzigingen in die aanstelling. Rapporterende autoriteiten zien erop toe dat voldoende hulpbronnen worden ingezet voor hun Rapportageverplichtingen krachtens deze verordening. Rapporterende autoriteiten stellen een persoon of personen aan als contactpersonen voor de indiening van, de verzoeken om en de ontvangst van informatie krachtens deze verordening en stellen de EBA daarvan in kennis. Kennisgevingen overeenkomstig dit lid vinden plaats in overeenstemming met bijlage II. Indirect informatie indienende autoriteiten doen deze kennisgevingen bij de autoriteiten die hun indirecte indiening van informatie faciliteren.

6. Voor de AML/CFT-autoriteit omvat de aanvullende informatie waarvan sprake in artikel 9 bis, lid 1, punt a), derde alinea, van Verordening (EU) nr. 1093/2010, het (eventuele) actuele risicoprofiel van de groep inzake witwassen en terrorismefinanciering en de risicobeoordelingen inzake witwassen en terrorismefinanciering van de financiëlesectordeelnemer, het bijkantoor, de agent of distributeur of de groep. Rapporterende autoriteiten verschaffen de EBA niet in deze verordening vermelde informatie of documenten die relevant zijn voor materiële zwakke punten of maatregelen, met een toelichting bij die relevantie.

7. De EBA stelt technische specificaties vast en deelt die mee aan rapporterende autoriteiten, met inbegrip van formats voor data-uitwisseling, datarepresentaties, relevante datapunten en instructies, toegangsrechten tot de databank, waaraan de rapporterende autoriteiten zich moeten houden wanneer zij overeenkomstig deze verordening informatie indienen of ontvangen. De EBA identificeert, rekening houdende met de verschillende toezichtwerkzaamheden van de rapporterende autoriteiten, de verwachte frequentie van indieningen van informatie en de noodzaak om operationele efficiëntie en kostenefficiëntie te verwezenlijken, de rapporterende autoriteiten die indirect informatie indienende autoriteiten overeenkomstig lid 4 zijn.

Artikel 13

Vertrouwelijkheid

1. Onverminderd de bepalingen in deze verordening ten aanzien van de wijze waarop informatie wordt geanalyseerd en aan autoriteiten beschikbaar wordt gesteld, valt overeenkomstig deze verordening bij de EBA ingediende informatie onder de artikelen 70, 71 en 72 van Verordening (EU) nr. 1093/2010. Informatie die door de Eiopa en de ESMA overeenkomstig deze verordening wordt ontvangen, valt onder, respectievelijk, de artikelen 70, 71 en 72 van Verordening (EU) nr. 1094/2010 en de artikelen 70, 71 en 72 van Verordening (EU) nr. 1095/2010.

2. Leden van de leidinggevende organen van de rapporterende autoriteiten en personen die voor deze autoriteiten werken of voor deze autoriteiten hebben gewerkt, zijn, zelfs na beëindiging van hun functie, onderworpen aan de verplichtingen van het ambtsgeheim en maken geen overeenkomstig deze verordening ontvangen informatie openbaar, tenzij zodanig samengevat of geaggregeerd dat individuele financiëlesectordeelnemers, bijkantoren, agenten, distributeurs of andere natuurlijke personen niet kunnen worden geïdentificeerd, onverlet gevallen waarin strafrechtelijke procedures lopen.

3. Rapporterende autoriteiten die overeenkomstig deze verordening informatie ontvangen, behandelen deze informatie als vertrouwelijk en maken daarvan uitsluitend gebruik bij de uitoefening van hun toezichtwerkzaamheden wat betreft het voorkomen van het gebruik van het financiële stelsel voor witwassen of terrorismefinanciering, die zij uitoefenen overeenkomstig de wetgevingshandelingen genoemd in artikel 1, lid 2, van Verordening (EU) nr. 1093/2010, artikel 1, lid 2, van Verordening (EU) nr. 1094/2010 en artikel 1, lid 2, van Verordening (EU) nr. 1095/2010, met inbegrip van beroep dat is ingesteld tegen door die autoriteiten genomen maatregelen en in gerechtelijke procedures betreffende toezichtwerkzaamheden.

4. Lid 2 staat er niet aan in de weg dat een rapporterende autoriteit in overeenkomstig deze verordening ontvangen informatie aan een andere rapporterende autoriteit of aan een autoriteit of orgaan inzage verleent overeenkomstig de in artikel 1, lid 2, van Verordening (EU) nr. 1093/2010, artikel 1, lid 2, van Verordening (EU) nr. 1094/2010 en artikel 1, lid 2, van Verordening (EU) nr. 1095/2010 genoemde wetgevingshandelingen.

Artikel 14

Gegevensbescherming

De EBA mag persoonsgegevens in identificeerbare vorm bijhouden voor een periode van maximaal tien jaar te rekenen vanaf de verzameling daarvan door de EBA en, wanneer dat het geval is, wist zij persoonsgegevens na afloop van die periode. Op basis van een jaarlijkse beoordeling van de noodzakelijkheid daarvan kunnen persoonsgegevens in individuele gevallen vóór het einde van die maximumperiode worden gewist.

Artikel 15

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 9 november 2023.

Voor de Commissie

De voorzitter

Ursula VON DER LEYEN

(1) PB L 331 van 15.12.2010, blz. 12.

(2) Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad van 20 mei 2015 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, tot wijziging van Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad en tot intrekking van Richtlijn 2005/60/EG van het Europees Parlement en de Raad en Richtlijn 2006/70/EG van de Commissie (PB L 141 van 5.6.2015, blz. 73).

(3) Verordening (EU) nr. 1094/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Autoriteit voor verzekeringen en bedrijfspensioenen), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/79/EG van de Commissie (PB L 331 van 15.12.2010, blz. 48).

(4) Verordening (EU) nr. 1095/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Autoriteit voor effecten en markten), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/77/EG van de Commissie (PB L 331 van 15.12.2010, blz. 84).

(5) Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende toegang tot het bedrijf van kredietinstellingen en het prudentieel toezicht op kredietinstellingen en beleggingsondernemingen, tot wijziging van Richtlijn 2002/87/EG en tot intrekking van de Richtlijnen 2006/48/EG en 2006/49/EG (PB L 176 van 27.6.2013, blz. 338).

(6) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(7) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(8) Verordening (EU) nr. 1024/2013 van de Raad van 15 oktober 2013 waarbij aan de Europese Centrale Bank specifieke taken worden opgedragen betreffende het beleid inzake het prudentieel toezicht op kredietinstellingen (PB L 287 van 29.10.2013, blz. 63).

(9) Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PB L 337 van 23.12.2015, blz. 35).

(10) Richtlijn 2014/59/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende de totstandbrenging van een kader voor het herstel en de afwikkeling van kredietinstellingen en beleggingsondernemingen en tot wijziging van Richtlijn 82/891/EEG van de Raad en de Richtlijnen 2001/24/EG, 2002/47/EG, 2004/25/EG, 2005/56/EG, 2007/36/EG, 2011/35/EU, 2012/30/EU en 2013/36/EU en de Verordeningen (EU) nr. 1093/2010 en (EU) nr. 648/2012, van het Europees Parlement en de Raad (PB L 173 van 12.6.2014, blz. 190).

(11) Richtlijn 2014/49/EU van het Europees Parlement en de Raad van 16 april 2014 inzake de depositogarantiestelsels (PB L 173 van 12.6.2014, blz. 149).

(12) Richtlijn 2009/138/EG van het Europees Parlement en de Raad van 25 november 2009 betreffende de toegang tot en uitoefening van het verzekerings- en het herverzekeringsbedrijf (Solvabiliteit II) (PB L 335 van 17.12.2009, blz. 1).